パッチ チューズデー今月のパッチ チューズデーでは、大規模かつ重要なセキュリティ修正がバンドルされており、Microsoft、Adobe、SAP が夏休みの計画を台無しにしてしまったかもしれません。
マイクロソフトは依然としてRDPコーディングの失敗を解消するのに苦戦している
今月修正された93件のCVEリストに掲載された脆弱性の中には、リモートデスクトップサービスにおける特に深刻なリモートコード実行バグが4件含まれています。これらの脆弱性を悪用すると、ハッカーは特別に細工したRDPパケットを使用するだけで、脆弱なシステムを乗っ取ることができます。ユーザー名やパスワードなどの認証は必要ありません。ハッカーは、脆弱なバージョンのリモートデスクトップサービスを実行しているマシンと同じネットワークに接続するか、公開されている場合はインターネット経由でアクセスし、仕掛けられたパケットをマシンに向けて送信するだけで、システムを乗っ取ることができます。
これらの脆弱性は、Microsoft の社内セキュリティ チームによって発見され、CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226 と指定されています。
これらの脆弱性はユーザーの操作を必要としないため、ワーム化しやすいと考えられています。悪意のあるソフトウェアはこれらのバグを悪用してマシンに感染し、その後自動的に別のコンピュータを探し出して乗っ取り、ネットワークやインターネット全体に拡散し続ける可能性があります。したがって、管理者はこれを最優先で修正する必要があります。
確認したら、もう2001年ではないことが分かりました。それでも、Notepad.exeを使えばWindowsのマシンを乗っ取ることができます。
続きを読む
Zero Day Initiativeのダスティン・チャイルズ氏が指摘したように、これらのプログラミング上の欠陥は、今年初めにWindowsでBlueKeep RDP脆弱性が発見・公表されたことを受けて、Microsoft社内でクリーンアップ作業が進められていた中で発見された可能性が高い。BlueKeepは、レドモンドのリモートデスクトップサーバーコードに存在した、認証前のワーム化可能なリモートコード実行の脆弱性でもあった。
「レドモンドの担当者は明らかにRDPに同様のバグが存在すると考えており、今回の4つのパッチはその事実を裏付けています」とチャイルズ氏は指摘する。「これらのバグはマイクロソフトの脆弱性評価で最高ランクにランク付けされているため、近い将来、複数のRDPエクスプロイトが流通する可能性が高いでしょう。」
伝えられるところによると、これらの 4 つの欠陥は、少なくとも、Windows 7、Windows 8.1、Windows Server 2008、Windows Server 2012、および Windows 10 のサポートされているバージョン (サーバー エディションを含む) に存在するとのことです。
また、TCPポート3389のRDPサービスを停止するか、ファイアウォールで無効にするか、パッチをインストールする以外に、緩和策や回避策はありません。ただし、Windows 7およびServer 2008では、ネットワークレベルの認証を使用することで、CVE-2019-1181およびCVE-2019-1182の悪用を阻止することが可能です。
Microsoft のその他の情報
Windows DHCP クライアントの脆弱性 (CVE-2019-0736) も同様にワーム化可能であると考えられており、管理者がテストしてインストールする最初の修正プログラムの 1 つとして推奨されています。
今月対処されたもう 1 つの特に厄介な脆弱性は CVE-2019-1201 です。これは、Microsoft Word のリモート コード実行の脆弱性であり、ドキュメント ファイルだけでなく、Web ページや Outlook プレビュー ウィンドウ経由でも悪用される可能性があるため、回避が非常に困難です。
例年通り、ブラウザベースのリモートコード実行(RCE)脆弱性が今月の重要な修正の大部分を占めました。Microsoftは、Webページに埋め込まれたスクリプトやフォントなど、Web経由で悪用される可能性のある、CVEリストに登録されているリモートコード実行(RCE)脆弱性を合計16件修正しました。
Hyper-V は、ゲスト VM 上の攻撃者がホスト サーバーを回避してコマンドを実行できる可能性がある 2 つの RCE 脆弱性 (CVE-2019-0720 および CVE-2019-0965) に対する修正を受け取りました。
8 月のバンドルには、Project Zero の研究者 Tavis Ormandy が指摘した Windows の権限昇格の脆弱性 CVE-2019-0965 の修正が遅れて含まれました。
Microsoftも、Netflixが本日公表した5件のHTTP/2脆弱性に対するパッチを公開したベンダーの一つです。Windowsの場合、これらの脆弱性はサービス拒否攻撃のリスクがあり、悪用されると標的のシステムがフリーズする可能性があります。
Adobe、8月の大規模なパッチ適用で119件のCVEを修正
今月マイクロソフトがリリースした修正プログラムの量は膨大だったが、CVE に登録された脆弱性を 119 件修正した Adobe がトップとなった。
これらのほとんどはReaderとAcrobatに関するもので、76件の脆弱性が修正されました。これらのバグは、リモートコード実行や情報漏洩の脆弱性を許しており、いずれも従来の破損したPDFファイルを介して悪用される可能性がありました。
Windows版およびmacOS版Photoshop CCでは、今月34件の脆弱性が修正されました。そのうち22件はリモートコード実行の恐れがあり、残りの12件は境界外メモリ読み取りの恐れがあります。
残りのパッチは、Creative Cloud Desktop (4 つの欠陥)、Experience Manager https://helpx.adobe.com/security/products/experience-manager/apsb19-42.html (1 つの欠陥) 向け、および Prelude、AfterEffects、Premier Pro、Character Animator に存在する DLL ハイジャックの欠陥に対するパッチでした。
SAPは13の脆弱性の解消を目指す
SAP ソフトウェアを実行している管理者は、今月のアップデートで修正された 13 件の CVE リストの脆弱性に対する修正を確実に受けられるようにする必要があります。
最も深刻なのは、NetWeaver UDDI Server のリモート コード実行の脆弱性 (CVE-2019-0351)、SAP Commerce Cloud のコード インジェクションの脆弱性 (CVE-2019-0344、CVE-2019-0343)、および NetWeaver Application Server for Java のサーバー側リクエスト フォージェリ (CVE-2019-0345) です。®
